Cyber Defense – Planen für den Ernstfall

Um dem etwas entgegen zu setzen, hat die FH St. Pölten vor Kurzem mit der Einrichtung eines Cyber Defense Centers begonnen. Daniel Haslinger unterrichtet im Department Informatik und Security und arbeitet mit seinem Team derzeit am Aufbau des Centers.

Cyber Defense Center (CDC) sind eine Weiterentwicklung eines Security Operation Centers (SOC). In einer solchen Einrichtung laufen alle sicherheitsrelevanten Fäden eines Unternehmens zusammen. Sicherheitslösungen, aufgezeichneter Datenverkehr, Logfiles – sämtliche Daten die zur Angriffserkennung und Prävention herangezogen werden können, werden in einem CDC überwacht und analysiert. Größere Unternehmen betreiben derartige Einrichtungen zum Teil selbst, unter bestimmten Voraussetzungen können aber auch kleinere Firmen derartige Dienstleistungen zukaufen.

Derzeit befinden wir uns in der ersten Aufbauphase, haben die für uns relevanten Produkte und Technologien ausgewählt und eine Art Testbetrieb gestartet, in dem wir unsere eigenen Nutzer und Systeme überwachen. Im nächsten Schritt erweitern wir nun unsere Infrastruktur und Fähigkeiten. Wir stehen in Kontakt mit Wirtschaftspartnern, um den Nutzern, aber auch unseren Sicherheitsforschern eine möglichst realistische Umgebung zur Verfügung stellen zu können. Auch die Eingliederung in die Lehre findet zurzeit statt, ab dem Wintersemester starten dann die ersten dedizierten Vorlesungen.

Wir setzen auf zwei Varianten. Zum einen arbeiten wir mit Echtzeitdaten, deren Inhalte sich aber natürlich unserem Einfluss entziehen. In der zweiten Ausbaustufe stehen uns fertige Szenarien – also voraufgezeichnete Angriffe – zur Verfügung, die wir bei Bedarf abrufen und über beliebige Zeiträume einspielen können. So ist es uns möglich, zu jedem gewünschten Zeitpunkt Angriffe zu simulieren. Die Studierenden nehmen dann eine Rolle im jeweiligen Berufsbild ein und setzen sich mit den erforderlichen Maßnahmen und Abläufen auseinander.

Honeypots sind in der Regel speziell präparierte Systeme, die nach außen hin unverdächtig und verwundbar wirken sollen. Verschaffen sich Dritte Zugang zu ihnen, wird jeder einzelne Schritt genauestens überwacht – den Angreifern wird also genau „auf die Finger geschaut“, um mehr über den Angriff, die Motivation, Ziele und eingesetzte Techniken zu erfahren. Da das System im Unternehmen garantiert nicht genutzt wird und keinerlei produktiven Zweck erfüllt, ist jede Interaktion mit dem System unautorisiert und somit als Angriff einzustufen. So können wir mehr über die Bedrohungslage lernen.

Das ist sowohl branchen- als auch länderabhängig. Es macht beispielsweise einen Unterschied, ob man Opfer eines gezielten Angriffes oder eines einfachen Querschlägers wird, ob man privat eines von vielen Zielen ist, oder ob Angreifer sich gezielt ein Opfer suchen. Sehr verbreitet ist zur Zeit immer noch Ransomware, also Schadsoftware die versucht, Nutzer durch die Androhung unterschiedlichster Konsequenzen zu einer Zahlung zu zwingen. Diese sind schon im privaten Umfeld sehr unangenehm, können aber auch Unternehmen treffen und wirtschaftlichen Schaden anrichten. Gerade bei kleineren Unternehmen unterscheiden sich Netzwerke und Konfigurationen häufig kaum von denen im persönlichen Umfeld, von daher gleichen sich die Angriffe hier oft. Die Sorgen, die die breite Masse betreffen, sind also der Verlust von Daten, bspw. durch Verschlüsselung, oder die Gefahr, dass sensible Daten in fremde Hände gelangen. 

Es gibt Akteure in jedem Feld. Das reicht von einzelnen „Script-Kiddies“, die sich – oftmals ohne Rücksicht auf die damit verbundenen Risiken – ausprobieren wollen, über finanziell- oder politisch-motivierten Gruppen, die zum Teil dem organisierten Verbrechen zugeordnet werden können, bis hin zu staatlichen Aggressoren, welche über große finanzielle Mittel verfügen. Ein bekanntes Beispiel aus der Vergangenheit dafür war der Computerwurm Stuxnet, der mutmaßlich von den USA und Israel entwickelt wurde, um iranische Urananreicherungsanlagen zu sabotieren. 

Das Bild hat sich tatsächlich geändert. Seitdem der Krieg begonnen hat, haben wir vermehrt mit Traffic zu tun, der offensichtlich mit dem Krieg in Zusammenhang steht. Verschiedene Gruppen beider Seiten versuchen dabei, Infrastruktur der FH zu nutzen, um damit Ziele in der Ukraine oder in Russland anzugreifen. 

Wir haben in den letzten Monaten einige Angriffe dieser Art gesehen und deshalb den Datentransfer für kritische Anwendungen blockiert, wenn er Länder betrifft, die sich – zumindest digital – aktiv an diesem Konflikt beteiligen.

Das Thema ist in Österreich derzeit noch unterrepräsentiert, aber wir sind im Begriff, wichtige Infrastruktur aufzubauen. Viele Unternehmen haben schlicht nicht die Mittel oder das Know-how, um sich ausreichend mit ihrer Sicherheit zu befassen und ziehen entsprechende Dienstleister in der Regel erst dann hinzu, wenn bereits Schaden entstanden ist. Der Mangel an Fachkräften ist ebenfalls ein Teil des Problems.

Wie in vielen anderen Bereichen der Kriminalität spielen wir auch hier das übliche „Katz-und-Maus-Spiel“. Die potentiellen Bedrohungen nehmen zu, die Hersteller und Fachkräfte tun aber gleichzeitig das ihre, um eine möglichst effektive Abwehr zu bieten. 

Dass wir Angriffe zur Zeit sehr verstärkt wahrnehmen, liegt aber auch an der zunehmenden Vernetzung. Allein durch das Thema „Internet of Things“ werden immer mehr Haus- und Industrieautomatisierungen in Richtung Netzwerk gedrängt und teilweise von außen zugänglich gemacht. Je mehr dieser Geräte online gehen, egal ob es sich um den Kühlschrank, eine WiFi-Glühbirne oder ein automatisiertes Türschloss handelt, desto mehr Angriffsfläche gibt es.